Integrierten AdBlocker ab IE9 über GPO aktivieren und konfigurieren

Um einen Kunden vor drive-by Crypto-Locker-Infektionen (wie hier bei heise.de beschrieben) zu schützen, beschäftigte ich mich neulich mit dem integrierten AdBlocker im Internet Explorer ab Version 9.

Der IE bringt dafür die Funktion des Tracking-Schutzes im Menü unter Extras -> Tracking-Schutz mit. Dabei handelt es sich um einen (sehr simplen) AdBlocker, der anhand von TPLs (Tracking Protection List, die eigentlich nur mit dem IE kompatible AdBlock Listen sind) Werbung blockt, wie es auch Add-ons wie AdBlock Plus oder uBlock tun.

Microsoft selbst bietet unter https://www.microsoft.com/de-de/iegallery verschiedene Listen an, die über einen simplen Klick installiert und aktiviert werden können. Interessant war jetzt die Anforderung, dass ganze unternehmensweit auszurollen. Folgende Registry-Schlüssel müssen dafür unter HKCU erstellt werden, damit das ganze funktioniert:

– HKCU\SOFTWARE\Microsoft\Internet Explorer\Safety\PrivacIE
– Name: Filtering Mode
– Type: REG_DWORD
– Value: 0

– HKCU\SOFTWARE\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{8C91C7B9-F137-456B-B662-E789A9E86528}
– Name: Enabled
– Type: REG_DWORD
– Value: 1

– HKCU\SOFTWARE\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{8C91C7B9-F137-456B-B662-E789A9E86528}
– Name: Name
– Type: REG_SZ
– Value: EasyList Germany und EasyList

– HKCU\SOFTWARE\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{8C91C7B9-F137-456B-B662-E789A9E86528}
– Name: Path
– Type: REG_SZ
– Value: %AppDataDir%\Local\Microsoft\Internet Explorer\Tracking Protection\{8C91C7B9-F137-456B-B662-E789A9E86528}.tpl

– HKCU\SOFTWARE\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{8C91C7B9-F137-456B-B662-E789A9E86528}
– Name: Url
– Type: REG_SZ
– Value: http://easylist-msie.adblockplus.org/easylistgermany+easylist.tpl

– HKCU\SOFTWARE\Microsoft\Internet Explorer\Safety\PrivacIE\Lists\{8C91C7B9-F137-456B-B662-E789A9E86528}
– Name: TTL
– Type: REG_DWORD
– Value: 2

Wichtig ist dabei, dass andere Filterlisten andere URLs und IDs haben, über die sie in der Registry gesteuert werden können.
In meinem Beispiel wird die Easylist + Easylist Germany alle 2 Tage von adblockplus.org heruntergeladen und in AppData des Users unter der listeneigenen ID gespeichert.

Das ganze sollte dann in der GPO ungefähr so aussehen:

Es gibt (wie es leider fast zu erwarten war) keinerlei weitere Konfigurationsmöglichkeit des Tracking-Schutzes. Keine Ausnahmen, kein manuelles Hinzufügen. Einzig kann der komplette Adblocker über das Menü aktiviert bzw. deaktiviert werden.